20,359
社区成员
发帖
与我相关
我的任务
分享求一个完整好用的防跨站(过滤非法脚本)的函数
要求,正常的标签保留,如<img>或者<font>等。过滤掉非法脚本。
如果你认为你的函数好用,先在IE6下测试一下这些(没有IE6用IETester)
比如你的函数是RemoveXSS,那么
如果你认为你的函数好用,先在IE6下测试一下这些(没有IE6用IETester)
<p>just a test</p><span style="color: #ff6600">弹出窗口了没?</span>
<img src="javascript:alert(/xss/)" width=100>
<img src="javas cript:alert(/xss/)" width=100>注意,javascript这里是一个[tab],不是4个空格。这里被自动转化为4个空格了,你要测试,需要手动修改下。
<img src="#" onerror=alert(/xss/)>
<img src="#" style="Xss:expression(alert(/xss4/))">
<img src="#"/**/onerror=alert(/xss/) width=100>
<img src="#" onerror=alert(/xss/)>
<img src="#" style="Xss:expression(alert(/xss/));">
<img src="#"/**/onerror=alert(/xss/) width=100>
比如你的函数是RemoveXSS,那么
echo RemoveXSS('<p>just a test</p>
<span style="color: #ff6600">弹出窗口了没?</span>
<img src="javascript:alert(/xss/)" width=100>
<img src="javas cript:alert(/xss/)" width=100>注意,javascript这里是一个[tab],不是4个空格。这里被自动转化为4个空格了,你要测试,需要手动修改下。
<img src="#" onerror=alert(/xss/)>
<img src="#" style="Xss:expression(alert(/xss4/))">
<img src="#"/**/onerror=alert(/xss/) width=100>
<img src="#" onerror=alert(/xss/)>
<img src="#" style="Xss:expression(alert(/xss/));">
<img src="#"/**/onerror=alert(/xss/) width=100>');
...全文
请发表友善的回复…
发表回复
